ESET analiza cómo Anthropic trata los datos de quienes usan Claude y cuáles son las certificaciones de seguridad que mantiene la empresa.
Anthropic, la empresa responsable de Claude, reportó en febrero de 2026 un nivel de ingresos proyectados anualizados superior a los 14.000 millones de dólares. Cada vez que alguien escribe una pregunta o interactúa con Claude, inicia un flujo de datos que pasa por servidores específicos, políticas de retención y normas de privacidad. ESET, compañía líder en detección proactiva de amenazas, sostiene que el rápido crecimiento no es sinónimo de seguridad garantizada y advierte que entender cómo funciona este flujo es el primer paso para utilizar la herramienta sin renunciar a la protección de la información personal o corporativa. Además, comenta las principales novedades de su uso, el tratamiento de datos de los usuarios de Anthropic y las certificaciones de seguridad de la empresa.
Claude es el asistente de inteligencia artificial desarrollado por Anthropic, una empresa de investigación y seguridad en IA fundada en 2021 por antiguos empleados de OpenAI. La herramienta funciona como un chatbot capaz de responder preguntas, escribir textos, analizar documentos, programar e incluso realizar tareas más complejas de forma autónoma dentro de flujos de trabajo automatizados, dependiendo del plan y la versión utilizada. Puede accederse a través de la web oficial, aplicaciones móviles o integrado con otras herramientas de trabajo mediante conectores y la API, utilizada principalmente por empresas y desarrolladores.
Una de las diferencias que destaca Anthropic es la llamada «IA Constitucional», un enfoque de entrenamiento que utiliza un conjunto de principios éticos definidos para guiar el comportamiento del modelo, en lugar de depender únicamente de la retroalimentación humana directa. En la práctica, esto significa que la seguridad se trata como parte del desarrollo del modelo, en lugar de como una capa añadida posteriormente. La propia Anthropic supervisa cómo se utiliza Claude en la práctica, a través de un estudio en curso llamado Índice Económico Antrópico, para entender a qué tipo de tarea recurren más la gente a la IA.
Cuando se envía un mensaje a Claude, este no viaja sin protección por internet. Anthropic implementa capas de seguridad que comienzan con el transporte de datos y llegan hasta el almacenamiento en servidores. La comunicación entre un navegador o aplicación y los servidores de Anthropic está cifrada según los estándares de seguridad del sector, lo que significa que dificulta que un tercero intercepte o lea las conversaciones mientras viajan por la red. Dentro de los servidores de Anthropic existen controles de acceso basados en roles, es decir, no todos los empleados de la empresa pueden acceder a los datos de los usuarios, lo que está restringido a equipos específicos que necesitan gestionar la infraestructura.
Las certificaciones son la forma más objetiva de demostrar que una empresa realmente sigue buenas prácticas de seguridad. Anthropic cuenta con tres certificaciones principales:
- La certificación SOC 2 Tipo II significa que auditores independientes externos examinaron los controles de seguridad de Anthropic durante meses y confirmaron que todo funcionaba correctamente en la práctica. Esto indica que se trata de una evaluación en curso, con controles definidos en las políticas de seguridad que funcionaron de manera consistente durante el período auditado.
- ISO 27001, norma internacional para la gestión de la seguridad de la información. Es reconocida globalmente y a menudo requerida por grandes empresas europeas y multinacionales al evaluar proveedores de tecnología. Cubre aspectos que van desde la política de contraseñas hasta los planes de respuesta a incidentes de seguridad.
- La ISO 42001es más reciente y específica para sistemas de IA. Evalúa cómo Anthropic gestiona los riesgos relacionados con la inteligencia artificial, incluyendo los procesos para el desarrollo, supervisión y uso responsable de los modelos, así como la monitorización de posibles conductas dañina.
Para las empresas que necesitan un cumplimiento aún más estricto, Anthropic ofrece contratos específicos para casos de uso sensibles, como aquellos relacionados con datos de salud o cumplimiento normativo. En estas situaciones, se puede negociar la retención de datos, el acceso e incluso la ubicación de los servidores.
“Vale la pena aclarar que estas certificaciones aseguran de que la infraestructura, los controles de acceso y los procesos de seguridad de Anthropic estén en orden. No significan que Claude nunca cometa errores, ni que sus respuestas siempre sean precisas o seguras. Significan que la empresa sigue buenas prácticas para proteger los datos que envías, y que esta protección es auditada regularmente por terceros.”, comenta Mario Micucci, Investigador de Seguridad Informática de ESET.
Las conversaciones con Claude se almacenan en los servidores de Anthropic, con dos propósitos inmediatos: permitir acceder al historial en diferentes dispositivos y mantener el contexto dentro de la misma conversación. Además, para los usuarios de las versiones gratuitas y de pago de Claude (Gratis, Pro, Max), Anthropic da la opción de permitir que las conversaciones se utilicen para entrenar y mejorar futuros modelos de IA. Si se lo permite, la empresa puede conservar los datos hasta durante cinco años. Si se rechaza, las conversaciones se eliminan automáticamente después de 30 días.
Para quienes usan a Claude en el trabajo, si la empresa paga por la API de Claude o usa el modo Enterprise, los datos nunca se usan por defecto para entrenar ningún modelo. Esta es una de las razones por las que muchas empresas migran a cuentas de pago o a través de API. Los datos se procesan, pero no son absorbidos por el sistema de aprendizaje de IA. Por lo que un empleado que utilice Claude Free o Pro en su cuenta personal está sujeto a las políticas de consumo. Un desarrollador que utiliza la API empresarial está protegido por políticas empresariales.
Para quienes usan Claude en América Latina, existe una capa adicional de regulación . Aunque el nivel de exigencia varía significativamente entre países, en toda la región existen marcos legales que regulan cómo pueden recopilarse, almacenarse y procesarse los datos personales, independientemente de la herramienta utilizada.
“En la práctica, el uso de inteligencia artificial se considera una forma de tratamiento de datos personales en muchos de estos marcos normativos. Esto implica que, cuando se utiliza Claude para procesar datos de clientes, pacientes o cualquier información que permita identificar a una persona, pueden activarse obligaciones legales como contar con una base válida para el procesamiento, informar a los titulares y aplicar medidas adecuadas de protección de datos.”, agrega Micucci.
ESET comparte algunos puntos de seguridad y privacidad clave, como activar la autenticación de dos pasos (2FA) en la cuenta y usar una contraseña fuerte y única. Se han encontrado más de 225.000 accesos de acceso a herramientas de IA a la venta en la Dark Web, a menudo robados por malware. También, mantener el sistema operativo y antivirus actualizados ayuda a prevenir estas amenazas. Explorar la configuración de privacidad de Claude. En la sección «Privacidad» o «Controles de datos», se puede desactivar el historial de chat y negarse a entrenar modelos con los datos. Si se trabaja para una empresa, asegurarse de que haya una política clara sobre qué IA puede usarse y en qué contexto.
“Claude es una herramienta poderosa y relativamente segura, pero ninguna IA es una caja fuerte. Usar bien significa saber cuándo usar, cuándo no. Antes compartir algo con una IA, es importante preguntarse si es información que nos gustaría que se haga pública. Por ejemplo, los secretos comerciales, los datos de los clientes, las credenciales de acceso y la información sensible nunca deberían ir a ninguna herramienta de IA. Si realmente se lo necesita, se debería utilizar una cuenta empresarial con contratos o herramientas específicas que funcionen localmente.”, concluye Micucci de ESET.
